Który z nich ma dla Ciebie sens?
Jeśli jesteś odpowiedzialny za decyzje dotyczące cyberbezpieczeństwa, prawdopodobnie zmagałeś się z tym pytaniem: który rodzaj testów bezpieczeństwa faktycznie mówi ci coś użytecznego?
Wraz z rosnącą liczbą ataków ransomware i coraz bardziej wyrafinowanymi hakerami, coroczne skanowanie luk w zabezpieczeniach nie wydaje się już wystarczające. Zarządy zadają coraz trudniejsze pytania dotyczące zwrotu z inwestycji w bezpieczeństwo. Musisz wiedzieć, gdzie naprawdę stoisz przed prawdziwymi zagrożeniami.
W tym miejscu pojawiają się testy penetracyjne, red teaming i purple teaming . Branża bezpieczeństwa czasami używa tych terminów zamiennie. I szczerze mówiąc, materiały marketingowe również nie pomagają wyjaśnić sprawy. Nie są one jednak tożsame. Każdy z nich służy innym celom, a wybranie niewłaściwego może zmarnować budżet lub przeoczyć krytyczne luki.
Pozwól, że opiszę, co każdy z nich faktycznie robi i kiedy możesz wybrać jeden z nich.
Testy penetracyjne: Wyłapywanie oczywistych (i nie tak oczywistych) słabych punktów
Testy penetracyjne to kontrolowana, autoryzowana ocena bezpieczeństwa. Jest to podstawowa kontrola stanu technicznego, ale bardziej dokładna niż automatyczne skanowanie.
Cel jest prosty: zespoły znajdują i wykorzystują luki w systemach, aplikacjach i sieci. Mówimy tu o brakujących łatkach, błędnych konfiguracjach, słabym uwierzytelnianiu i błędach SQL injection. Słabości techniczne, które wciąż pojawiają się w raportach o naruszeniach.
Zakres jest zazwyczaj zdefiniowany i ograniczony. Można przetestować określoną aplikację, segment sieci lub zestaw systemów. Otrzymujesz listę tego, co jest podatne na ataki, w jaki sposób zostało wykorzystane i co należy z tym zrobić. Jest to ustrukturyzowane i wydajne.
Testy penetracyjne nie sprawdzają, jak dobrze zespół wykrywa zagrożenia lub reaguje na incydenty. Myślę o tym raczej jako o mapowaniu ryzyka technicznego niż testowaniu gotowości operacyjnej. Co jest w porządku. Do tego właśnie zostały zaprojektowane.
Najlepsze dla: Organizacje budujące lub weryfikujące podstawowe kontrole bezpieczeństwa, spełniające wymogi zgodności lub przeprowadzające regularne kontrole bezpieczeństwa.
Red Teaming: Testowanie czegoś więcej niż tylko technologii
Red teaming przyjmuje zupełnie inne podejście. Zamiast polować na poszczególne luki w zabezpieczeniach, czerwone zespoły starają się osiągnąć określone cele za pomocą wszelkich niezbędnych środków.
To tutaj organizacja jest testowana tak, jak w przypadku prawdziwego ataku. red team zespół działa jak zdeterminowany przeciwnik, wykorzystując techniki takie jak wiadomości phishingowe, rozmowy socjotechniczne, ruchy boczne, a nawet fizyczny dostęp (jeśli jest dozwolony), aby sprawdzić, jak daleko mogą pozostać niewykryci.
red team zespół może spędzić tygodnie na budowaniu ataku, tak jak robią to prawdziwi przeciwnicy. Będą badać Twoich pracowników na LinkedIn, tworzyć przekonujące kampanie phishingowe, tworzyć przyczółki w Twojej sieci i próbować uzyskać dostęp do wrażliwych danych. Wszystko to w czasie, gdy zespół ds. bezpieczeństwa działa normalnie, nie zdając sobie sprawy, że jest testowany.
Takie podejście ujawnia rzeczy, które testy penetracyjne pomijają. Jak szybko SOC wykrywa nietypową aktywność? Czy procedury reagowania na incydenty faktycznie działają, gdy ludzie są zestresowani? Czy istnieją martwe punkty w monitorowaniu, które atakujący mogliby wykorzystać?
Najlepsze dla: Organizacje z dojrzałymi programami bezpieczeństwa, które chcą zweryfikować swoje możliwości wykrywania i reagowania na incydenty pod presją.
Purple Teaming: Nauka podczas walki
Purple teaming przenosi red team i obrońców do tego samego pomieszczenia - czasami dosłownie.
Zamiast czekać na raport końcowy, zespół defensywny otrzymuje natychmiastową informację zwrotną. Gdy red team znajdzie sposób na ominięcie kontroli, od razu wyjaśnia swoje metody. Niebieski zespół może dostosować swoje reguły wykrywania i natychmiast je przetestować.
Takie wspólne podejście przyspiesza naukę. Zamiast grać w gry typu "gotcha", oba zespoły koncentrują się na poprawie rzeczywistego stanu bezpieczeństwa. Obrońcy uczą się nowych technik ataku. Twój red team rozumie, dlaczego istnieją pewne mechanizmy obronne.
Minusy? Wymaga większej koordynacji i, szczerze mówiąc, dojrzałości z obu stron. Zespoły muszą kontrolować swoje ego i otwarcie współpracować, co nie zawsze jest łatwe.
Najlepsze dla: Zespoły, które chcą budować własne umiejętności, dojrzewać swoje operacje bezpieczeństwa lub szybko usuwać luki w wykrywaniu i reagowaniu.
Którą z nich wybrać?
Oto jak zwykle o tym myślę:
Zacznij od testów penetracyjnych, jeśli:
- Jesteś na wczesnym etapie programu bezpieczeństwa
- Konieczne jest spełnienie wymogów zgodności
- Potrzebujesz opłacalnego sposobu identyfikacji słabych punktów technicznych
- Należy sprawdzić, czy ostatnie poprawki faktycznie działają
Przejście do red teaming , gdy:
- Podstawowe mechanizmy kontroli bezpieczeństwa są w miarę dojrzałe
- Chcesz przetestować swoje możliwości reagowania na incydenty
- Musisz zrozumieć rzeczywiste ścieżki ataków
- Kierownictwo chce mieć wgląd w rzeczywistą odporność na zagrożenia.
Rozważ purple teaming , jeśli
- Jesteś zaangażowany w ciągłe doskonalenie bezpieczeństwa
- Posiadasz zarówno zdolności ofensywne, jak i defensywne.
- Chcesz przyspieszyć naukę dla obu zespołów
- Prowadzisz bieżące programy bezpieczeństwa, a nie jednorazowe oceny.
Myślę, że wiele organizacji czerpie korzyści ze stosowania różnych podejść w różnym czasie. Możesz zacząć od testów penetracyjnych, aby zająć się oczywistymi lukami, następnie przejść do red teaming , gdy twoja obrona dojrzeje, i włączyć purple teaming jako część ciągłego procesu doskonalenia.
Kluczem jest dopasowanie podejścia do testowania do aktualnej dojrzałości bezpieczeństwa i konkretnych celów. Test penetracyjny nie powie ci zbyt wiele o twoich możliwościach reagowania na incydenty, ale zaangażowanie red team zespołu może być przesadą, jeśli nie zająłeś się jeszcze podstawowymi lukami w zabezpieczeniach.
Dokonanie właściwego wyboru dla swojej organizacji
Najbardziej pomocne jest zadanie sobie pytania, czego tak naprawdę chcesz się nauczyć. Czy próbujesz znaleźć luki techniczne? Przetestować umiejętności reagowania zespołu? Budować wewnętrzne możliwości poprzez wspólne uczenie się?
Twoja odpowiedź powinna ukierunkować Twój wybór. I pamiętaj, że nie musi to być jednorazowa decyzja. W miarę dojrzewania programu bezpieczeństwa, potrzeby w zakresie testowania również będą się zmieniać.
Być może najważniejszą rzeczą jest to, że testujesz coś poza automatycznymi skanami i listami kontrolnymi. Niezależnie od tego, czy wybierzesz testy penetracyjne, red teaming czy purple teaming, podejmujesz kroki w kierunku zrozumienia, jak Twoja organizacja radzi sobie z rzeczywistymi zagrożeniami.
Organizacje, które robią to dobrze, zwykle zaczynają od jednego podejścia i rozwijają swoją strategię testowania w miarę dojrzewania programu bezpieczeństwa. Mogą odpowiedzieć na pytania zarządu dotyczące zwrotu z inwestycji, ponieważ rozumieją, co faktycznie testują i dlaczego.
Dopasujmy Twoje cele do odpowiedniego testu.
Niezależnie od tego, czy budujesz swój pierwszy program bezpieczeństwa, czy testujesz dojrzałe środowisko, wybór właściwej metody oceny ma znaczenie. Jeśli nie masz pewności, od czego zacząć lub po prostu chcesz uzyskać drugą opinię, jesteśmy tutaj, aby pomóc Ci wybrać odpowiednią metodę testowania.